第五講 應(yīng)用管理摸板和審核策略

1、第5講 應(yīng)用管理模板和審核策略課程導(dǎo)入當(dāng)前計算機(jī)面臨哪些安全問題?Windows Server 2003 有哪些安全功能?如何實現(xiàn)計算機(jī)的安全策略?第5講 應(yīng)用管理模板和審核策略課程內(nèi)容Windows Server 2003 安全概述使用安全模板保護(hù)計算機(jī)測試計算機(jī)安全策略配置審核安全日志管理Windows Server 2003 安全概述 用戶權(quán)利用戶權(quán)利與權(quán)限分配給內(nèi)置組的用戶權(quán)利分配用戶權(quán)利課堂練習(xí) 分配用戶權(quán)利用戶權(quán)利用戶權(quán)限的范例用戶權(quán)利與權(quán)限用戶權(quán)利：系統(tǒng)上的行為權(quán)限：對象上的行為備份分配給內(nèi)置組的用戶權(quán)利內(nèi)置本地組：AdministratorsBackup OperatorsPo

2、wer UsersRemote Desktop UsersUsers內(nèi)置容器中的組：Account OperatorsAdministratorsBackup OperatorsPre-Windows 2000 Compatible AccessPrint OperatorsServer Operators用戶容器中的組：Domain AdminsEnterprise Admins分配用戶權(quán)利演示：如何手工分配用戶權(quán)限課堂練習(xí) 分配用戶權(quán)利目的：移除用戶權(quán)利，然后測試是否移除成功添加用戶權(quán)利，然后測試是否添加成功場景: 你是Nwtraders公司的系統(tǒng)管理員，你準(zhǔn)備通過禁用“Users”組用戶

3、從本地到你的計算機(jī)來測試用戶權(quán)利分配。測試成功后，你需要把本地登錄權(quán)限分配給“Users”組用戶。 第5講 應(yīng)用管理模板和審核策略Windows Server 2003 安全概述使用安全模板保護(hù)計算機(jī)測試計算機(jī)安全策略配置審核安全日志管理使用安全模板保護(hù)計算機(jī)安全策略安全模板安全模板設(shè)置創(chuàng)建自定義安全模板導(dǎo)入安全模板課堂練習(xí) 使用安全模板保護(hù)計算機(jī)安全策略安全模板模板描述默認(rèn)安全設(shè)置 (Setup security.inf)指定缺省安全設(shè)置域控制器默認(rèn)安全設(shè)置 (DC security.inf)針對域控制器指定缺省安全設(shè)置從默認(rèn)安全設(shè)置更新（security.inf）兼容 (Compatws.

4、inf)針對用戶組啟用最大應(yīng)用程序兼容性來修改權(quán)限和注冊表設(shè)置安全 (Securedc.inf 和 Securews.inf)加強(qiáng)安全設(shè)置（定義了至少可能影響應(yīng)用程序兼容性的增強(qiáng)安全設(shè)置）高級安全 (Hisecdc.inf 和 Hisecws.inf)在安全設(shè)置中增加了限制系統(tǒng)根目錄安全 (Rootsec.inf)為系統(tǒng)驅(qū)動器根目錄定義權(quán)限安全模板設(shè)置安全模板： 設(shè)置安全設(shè)置范例創(chuàng)建自定義安全模板演示：自定義安全模板創(chuàng)建新的安全模板導(dǎo)入安全模板演示：導(dǎo)入安全模板到本地計算機(jī)導(dǎo)入安全模板到組策略對象課堂練習(xí) 使用安全模板保護(hù)計算機(jī)目的：創(chuàng)建安全模板導(dǎo)入安全模板到組策略對象場景： 你是Nwtrad

5、ers公司的系統(tǒng)管理員，你需要自定義一個安全模板,名為“Glasgow” ，并將向組策略對象“Glasgow Restricted Users”導(dǎo)入這個安全模板，實現(xiàn)公司的安全策略。 第5講 應(yīng)用管理模板和審核策略Windows Server 2003 安全概述使用安全模板保護(hù)計算機(jī)測試計算機(jī)安全策略配置審核安全日志管理測試計算機(jī)安全策略“安全配置和分析”工具測試計算機(jī)安全課堂練習(xí) 測試計算機(jī)安全“安全配置和分析”工具模板設(shè)置實際設(shè)置與模板不匹配的設(shè)置測試計算機(jī)安全 演示：演示使用安全配置工具來分析計算機(jī)安全課堂練習(xí) 測試計算機(jī)安全目的：創(chuàng)建自定義安全模板利用自定義安全模板分析計算機(jī)上的安全設(shè)

6、置場景： 你是Nwtraders公司的系統(tǒng)管理員，需要在成員服務(wù)器上實現(xiàn)以下安全設(shè)置：密碼必須不少于10個字符登錄過程中必須顯示一個對話框，告知用戶未經(jīng)授權(quán)的訪問將被系統(tǒng)禁止。禁用被設(shè)置為手動啟動的“Alerter”服務(wù)。第5講 應(yīng)用管理模板和審核策略Windows Server 2003 安全概述使用安全模板保護(hù)計算機(jī)測試計算機(jī)安全策略配置審核安全日志管理配置審核審核審核策略需要審核的事件類型制定審核策略的原則啟用審核策略啟用文件和文件夾審核課堂練習(xí) 啟用文件和文件夾審核啟用 Active Directory 對象審核課堂練習(xí) 啟用組織單位審核配置審核的最佳實踐審核審核通過記錄服務(wù)器或工作站

7、上安全日志中的事件的選擇類型，來跟蹤用戶和操作系統(tǒng)的行為審核啟用創(chuàng)建基線判斷威脅和攻擊判斷危險防范將來的危險審核對象訪問、賬戶管理、用戶登錄和注銷內(nèi)容?時間？人物？審核結(jié)果?審核策略審核策略判斷安全事件并報告給網(wǎng)絡(luò)管理員設(shè)置審核策略跟蹤成功或失敗事件最小化對資源未授權(quán)的訪問維護(hù)記錄活動事件存儲在安全日志中 需要審核的事件類型賬戶登錄賬戶管理目錄服務(wù)訪問登錄對象訪問策略改變權(quán)限使用過程跟蹤系統(tǒng)事件制定審核策略的原則決定計算機(jī)安全審核是否開啟決定哪些事件需要審核決定審核成功或失敗事件決定是否需要跟蹤經(jīng)常查看安全日志啟用審核策略演示：在本地計算機(jī)上配置審核策略在域或組織單位配置審核策略課堂練習(xí) 啟用

8、文件和文件夾審核目的：啟用文件和文件夾審核場景： 你是Nwtraders公司的系統(tǒng)管理員，人力資源部經(jīng)理打電話給你,告訴你有人正在刪除一些文件.他想知道是哪些用戶刪除了文件.你需要在服務(wù)器上為“HR-Reports”文件夾啟用審核功能。課堂練習(xí) 啟用組織單位審核目的：在組織單位上啟用審核場景： 你是Nwtraders公司的系統(tǒng)管理員，你擔(dān)心有人在”IT TEST ”組織單位中添加和刪除用戶、計算機(jī)以及組等對象。你準(zhǔn)備配置一個審核策略來審核“IT TEST ”組織單位中這些對象成功和失敗的創(chuàng)建與刪除操作。 配置審核的最佳實踐審核目錄服務(wù)訪問類別成功事件審核對象訪問目錄類別成功事件審核系統(tǒng)類別成功

9、和失敗事件審核在域控制器上策略改變類別成功或失敗事件審核賬戶管理類別成功和失敗事件審核登錄類別成功事件審核域控制器上賬戶登錄類別的成功事件設(shè)置合適的安全日志大小第5講 應(yīng)用管理模板和審核策略Windows Server 2003 安全概述使用安全模板保護(hù)計算機(jī)測試計算機(jī)安全策略配置審核安全日志管理安全日志管理日志文件常見安全事件管理安全日志文件管理安全日志文件信息查看安全日志事件課堂練習(xí) 管理日志文件信息日志文件應(yīng)用程序安全系統(tǒng)目錄服務(wù)文件復(fù)制服務(wù)事件查看器日志類型：常見安全事件登錄事件描述Event ID 528成功登錄Event ID 529不成功登錄的嘗試Event ID 539嘗試登錄

10、鎖定的賬戶文件擁有關(guān)系事件描述Event ID 578擁有者的改變安全日志事件描述Event ID 517安全日志被清除關(guān)閉事件描述Event ID 513系統(tǒng)關(guān)閉管理安全日志文件停止：C0000244 審核失敗 未能生成安全審核問題解決原因：設(shè)置了如果無法記錄安全審核則立即關(guān)閉系統(tǒng)如果啟用該安全設(shè)置，則無論什么原因，只要系統(tǒng)無法記錄安全審核，就會終止系統(tǒng)如果安全日志已滿并且無法改寫現(xiàn)有條目，同時還啟用了該安全選項，則會顯示標(biāo)題出現(xiàn)的問題問題解決：以管理員身份登錄將日志存檔（可選）清除日志重新設(shè)置該安全設(shè)置管理安全日志文件信息 演示：通過使用“計算機(jī)管理”管理安全日志文件通過組策略管理安全日志

11、文件查看安全日志事件演示：安全日志文件篩選安全日志文件查看課堂練習(xí) 管理日志文件信息目的：配置安全日志屬性驗證事件被記錄到安全日志文件場景： NWtraders公司的網(wǎng)絡(luò)安全小組告訴你，“Glasgow”服務(wù)器上的安全日志文件需要設(shè)置以下屬性：日志文件的最大長度為30016KB。覆蓋操作設(shè)置為“不覆蓋事件（手動清除日志）”還要求你查看安全日志文件，確定共享文件夾“C:HR Reports” 的安全事件是否記入日志。 回顧學(xué)習(xí)完本章后，將能夠：能夠進(jìn)行審核策略設(shè)置能夠熟練配置日志相關(guān)選項能夠查看安全日志能夠排除日志設(shè)置中常見問題隨堂練習(xí)1 你是公司的網(wǎng)絡(luò)管理員。網(wǎng)絡(luò)包含兩個屬于一個林的兩個活動目

12、錄域構(gòu)成。每個域的功能級別為Windows 2000 混合。你的工程部有3000名員工。工程人員用戶是不同全局組的成員。公司計劃開設(shè)一個新的辦公室讓工程人員測試產(chǎn)品。新辦公室需要連接到公司的網(wǎng)絡(luò)。你要確保工程部的新用戶賬戶具有使用遠(yuǎn)程訪問訪問網(wǎng)絡(luò)的權(quán)限。你要使管理花費(fèi)最少。首先你創(chuàng)建了工程部用戶的模板賬戶。你還需要哪兩步操作？修改設(shè)計架構(gòu)，選中office和street的“索引活動目錄中的屬性”復(fù)選框修改設(shè)計架構(gòu)，選中組屬性的“索引活動目錄中的屬性”復(fù)選框手動在每個新創(chuàng)建的用戶賬戶中添加允許“遠(yuǎn)程訪問”權(quán)限手動添加新創(chuàng)建的用戶賬戶的組關(guān)系將組關(guān)系信息添加到模板賬戶中在模板賬戶中添加允許“遠(yuǎn)程訪

13、問”權(quán)限隨堂練習(xí)2 你是活動目錄域的管理員。網(wǎng)絡(luò)中只有一個域，所有服務(wù)器安裝Windows Server 2003系統(tǒng)。你安裝了一臺新的服務(wù)器Server6。你在Server6上安裝應(yīng)用程序。由于Server6的NTFS權(quán)限控制過于嚴(yán)格，程序無法啟動。你使用應(yīng)用程序生產(chǎn)商提供模板修改NTFS權(quán)限。但在安裝了一個更新后。該應(yīng)用程序再次不能使用。你要恢復(fù)到原來的系統(tǒng)安全級別。你應(yīng)當(dāng)將哪個模板導(dǎo)入Server6的本地安全策略？A. Syssetup.inf 模板. B. Profsec.inf 模板. C. Defltsv.inf 模板. D. Netserv.inf 模板隨堂練習(xí)3 你是活動目錄域

14、的管理員。網(wǎng)絡(luò)中只有一個域，所有服務(wù)器安裝Windows Server 2003系統(tǒng)。所有的客戶計算機(jī)安裝Windows XP Professional。一個員工的計算機(jī)的一個分區(qū)使用NTFS分區(qū)。他在計算機(jī)上創(chuàng)建了Data.doc文件。他想要共享該文件。他分配給域用戶安全組該文件的讀權(quán)限。他將文件移動到共享文件夾File1 中。File1的權(quán)限為Users組-讀權(quán)限，Managers組-修改權(quán)限。另一位經(jīng)理試圖編輯文件時，提示錯誤信息。你應(yīng)當(dāng)如何做？選擇文件夾File1的“Replace permission entries on all child objects with entries

15、 shown here that apply to child objects”選項選擇文件夾File1的“Inherit from parent the permission entries that apply to child objects. Include these with entries explicitly defined here”選項。使用Secedit.exe導(dǎo)入模板Rootsec.inf使用Secedit.exe導(dǎo)入模板Hisecws.inf隨堂練習(xí)4 你是活動目錄域的管理員。網(wǎng)絡(luò)中只有一個域，所有服務(wù)器安裝Windows Server 2003系統(tǒng)。所有的客戶計算機(jī)

16、安裝Windows XP Professional。你在一臺名為Server2的Windows Server 2003計算機(jī)上安裝了軟件更新服務(wù)（SUS）。你想要所有的客戶計算機(jī)從Server2下載更新。你決定修改默認(rèn)域策略組組策略對象（GPO）設(shè)置Sever2作為所有計算機(jī)的SUS服務(wù)器。當(dāng)你打開默認(rèn)域策略組組策略對象發(fā)現(xiàn)沒有Windows Update設(shè)置。你需要導(dǎo)入哪一個管理模板？A. conf.admB. GAL11.admC. wuau.admD. inf11.adm隨堂練習(xí)5 你是活動目錄域的管理員。網(wǎng)絡(luò)中只有一個域，所有服務(wù)器安裝Windows Server 2003系統(tǒng)。所有的客戶計算機(jī)安裝Windows XP Professional。所有的客戶計算機(jī)對象存儲在Client組織單位中?？蛻粲嬎銠C(jī)從Microsoft的網(wǎng)站上下載安全補(bǔ)丁。你在一臺名